Ciekawym trendem, na który wskazali między innymi analitycy Cisco Talos, jest kierowanie działań przestępczych przeciwko analitykom cyberbezpieczeństwa, czyli sytuacja, w której łowcy sami stali się zwierzyną. Kilku przedstawicieli tej grupy miało znaleźć się wśród osób, do których kierowane były złośliwe linki i wiadomości w mediach społecznościowych z fałszywych kont, mające na celu wyłudzenie informacji. Zwrócili oni też uwagę, że cyberprzestępcy będą skupiać się na atakowaniu dostawców usług – poziom trudności tego procederu jest oczywiście znacznie wyższy, ale znacznie większe będą też owoce w przypadku sukcesu, bo potencjalnie zagrożonych będzie wówczas wielu klientów danej firmy.

Gdzie rakieta nie sięga…

25 lutego, a więc już dzień po ataku Rosji na Ukrainę, grupa haktywistów Anonymous wypowiedziała rosyjskiemu rządowi „cyberwojnę”. Kilka godzin później grupa Conti, rozpowszechniająca złośliwe oprogramowanie ransomware na swojej stronie w Dark Webie, zadeklarowała pełne poparcie dla rosyjskiego rządu. Co prawda niedługo potem złagodziła stanowisko, ale zasugerowała, że może uderzyć w odpowiedzi na podjętą przez Amerykanów agresję w cyberprzestrzeni.

Warto też pamiętać, że Rosjanie mają „w odwodzie” 14 członków gangu REvil, którzy zostali aresztowani przez Federalną Służbę Bezpieczeństwa (FSB) na żądanie rządu Stanów Zjednoczonych za bardzo dotkliwy atak ransomware przeprowadzony na oprogramowanie firmy Kaseya, którego ofiarami padło wielu jej klientów. Cyberprzestępcom skonfiskowano olbrzymie kwoty pieniędzy, kryptowaluty, jak też dobra materialne. Niewykluczone jednak, że w obecnej sytuacji eksperci z takim doświadczeniem mogą się rosyjskiemu rządowi bardzo przydać, w zamian za odzyskanie wolności.

1 marca od wojny zdystansowała się inna grupa ransomware – TheRedBanditsRU. Na Twitterze opublikowała oświadczenie, że nie będzie atakowała ukraińskich celów cywilnych. Zasugerowała jednocześnie, że wyjątkiem może być ukraiński rząd. Sytuacja z pewnością będzie eskalowała, tym bardziej że zleceniodawcom trudniej jest udowodnić przeprowadzenie cyberataku niż wystrzelenie konwencjonalnych rakiet.

Dlatego, ze względu na prawdopodobny wzrost częstotliwości i dotkliwości ataków, firmy i instytucje na całym świecie, a szczególnie w krajach sąsiadujących z Ukrainą, powinny być przygotowane na ataki i zadbać o zaawansowaną ochronę. Pojawiły się już informacje o ataku złośliwego oprogramowania na ukraińskie systemy kontroli granicznej, który miał zakłócić przepływ uchodźców przez granicę z Rumunią. Proofpoint opublikował też dane o wzroście phishingu wymierzonego w urzędników NATO.

Warto też zauważyć, że dezinformacja, przyjęta jako jedno z narzędzi w oficjalnej rosyjskiej doktrynie wojennej z 2010 r., dotyczy też cyberataków. Może upłynąć wiele miesięcy zanim pojawią się dowody na cyfrowe działania związane z sytuacją na Ukrainie. Cyberprzestępcy często zostawiają fałszywe poszlaki dotyczące państwa, z którego atakują – to powszechna praktyka, niezależnie od sytuacji geopolitycznej. Tak było w połowie stycznia br., gdy wiele ukraińskich stron rządowych zostało zablokowanych przez złośliwe oprogramowanie. Atakujący zostawili fałszywe informacje wskazujące na dysydentów ukraińskich lub stronę polską. Ministerstwo Obrony Ukrainy ostrzegło też swoich obywateli, że niewykluczone jest, iż Rosja stworzy deepfake’a z twarzą Wołodymyra Zełenskiego, aby siać panikę i skłonić ukraińskie wojsko do złożenia broni.

Eksperci ESET z kolei ostrzegają, że tematyka kryzysu humanitarnego w Ukrainie w oczywisty sposób wykorzystywana jest już w kampaniach phishingowych. Pojawiły się już fałszywe strony internetowe organizacji charytatywnych oraz mejle z prośbami o pomoc finansową. Obecnie ofiara takich działań ryzykuje, że jej fundusze trafią do rąk cyberprzestępców, a nie do potrzebujących, ale z pewnością tematyka ta będzie też wykorzystywana do nakłaniania do kliknięcia w linki prowadzące do „klasycznego” złośliwego kodu.

Ransomware wciąż numerem jeden

Sytuacja w Ukrainie nie zwalnia jednak z przyglądania się innym rodzajom ataków podejmowanych przez cyberprzestępców. W tym kontekście prym od kilku lat należy do ransomware’u i nic nie wskazuje, aby w najbliższych latach miało się to zmienić. Ten rodzaj złośliwego oprogramowania jest bowiem obecnie najbardziej dochodowym rodzajem ataków.

Z danych należącego do Fortinetu zespołu analityków FortiGuard Labs wynika, że rośnie poziom wyrafinowania ataków, ich agresywność i wpływ na przedsiębiorstwa. Cyberprzestępcy nadal atakują za pomocą zarówno nowych, jak i wcześniej spotykanych wariantów ransomware’u. Te starsze odmiany są nieustannie aktualizowane i udoskonalane, czasami dołączane jest do nich złośliwe oprogramowanie typu wiper. Ewoluuje też model biznesowy Ransomware-as-as-Service (RaaS), w ramach którego można wynająć usługę zaatakowania konkretnej osoby lub podmiotu. Dodatkowo, kontynuowana jest praktyka kradzieży poufnych danych i szantażowania ofiary ich upublicznieniem w przypadku odmowy opłacenia okupu.

Analitycy Bitdefendera przewidują, że nastąpi wzrost liczby ataków ransomware na systemy Linux, które będą ukierunkowane na pamięć masową lub szablony środowisk wirtualnych. Zmotywowane wysokimi profitami gangi ciągle ulepszają metody i wymyślają nowe, aby zwiększyć presję na swoje ofiary. W 2021 r. pojawiły się żądania okupu w wysokości dziesiątek milionów dolarów, a wkrótce mogą przekroczyć 100 mln dol.

W grudniu ub.r. systemy telemetryczne Bitdefendera zidentyfikowały 232 odmiany oprogramowania ransomware. Do państw najbardziej dotkniętych należały Stany Zjednoczone (26 proc.), Brazylia (15 proc.), Iran (13 proc.), Indie (12 proc.) oraz Niemcy (8 proc.). Najbardziej nękanymi przez ransomware branżami w grudniu były: edukacja (30 proc.), instytucje rządowe (25 proc.) i dostawcy usług telekomunikacyjnych (22 proc.).

Artykuł Wojna także z cyberprzestępcami pochodzi z serwisu CRN.

NACVIEW zapewnia wszystkie dostępne sposoby autoryzacji 802.1x, pełną widzialność infrastruktury sieciowej, monitoring urządzeń sieciowych po SNMP oraz różne sposoby realizacji dostępu gościnnego (w tym Captive Portal i konta czasowe). Do dyspozycji są też aplikacje wspomagające kontrolę pracy infrastruktury – agent dla urządzeń końcowych, autokonfiguratory czy też mechanizm jednorazowych haseł (OTP) do sieci VPN.

Dzięki tak szerokiej funkcjonalności NACVIEW zapewnia wsparcie dla środowisk wielodomenowych, jak i możliwość rozbudowy przez dodawanie kolejnych węzłów bez konieczności zakupu dodatkowych licencji. Rozwiązanie sprawdzi się także w małych i średnich firmach, które docenią wbudowany serwer DHCP (dostępny bez dodatkowych kosztów), wbudowany Urząd Certyfikacji, integrację z OpenVPN, jak też moduł inwentaryzacji.

Łatwe i przejrzyste licencjonowanie

Producent NACVIEW postawił na prosty i przejrzysty mechanizm licencjonowania, dzięki czemu wszystkie funkcje oferowane są w cenie podstawowej licencji.

– W konkurencyjnych rozwiązaniach często agenty, Captive Portal, mechanizm BYOD, protokół TACACS, funkcje wysokiej dostępności, opcja wdrożenia w środowisku rozproszonym czy moduł OTP dla VPN są dodatkowo płatne. W przypadku NACVIEW wybór odpowiedniej licencji dla klienta jest bardzo prosty, a cały cennik mieści się na jednej stronie A4. Jedyne, co wystarczy zrobić na etapie doboru rozwiązania, to oszacować liczbę urządzeń w środowisku zamawiającego – mówi Maciej Salamoński, Business Development Manager w Scan IT.

Istnieje możliwość zakupu zarówno licencji dożywotniej, jak i subskrypcji, a ewentualna zmiana na wyższą licencję odbywa się na preferencyjnych warunkach (pokrycie różnicy w cenie). Dostępna jest także licencja operatorska multi-tenant oraz upusty na zakup systemu dla jednostek edukacyjnych.

Każdy partner ma znaczenie

Partnerzy, którzy oferują klientom rozwiązanie NACVIEW mogą liczyć na wsparcie na każdym etapie projektu – od procesu działań marketingowych (np. wspólny webinar lub konferencja), poprzez indywidualne prezentacje dla klienta, testy, wdrożenie, aż po szkolenia dla użytkowników. Za każdym razem forma wsparcia partnera dostosowana jest do jego wiedzy i oczekiwań.

Systemem NACVIEW mogą zainteresować się także początkujący w branży bezpieczeństwa IT resellerzy z wartością dodaną i integratorzy. Nawet jeśli mają niewielkie doświadczenie, producent może wspomóc partnera w prezentacji i testach, a podczas pierwszych wspólnych wdrożeń doszkalać go z wiedzy praktycznej. Sprzedawcy bardzo szybko nabierają wprawy dzięki maksymalnie uproszczonemu procesowi wdrożenia, w ramach którego konfiguracja systemu odbywa się za pomocą intuicyjnych konfiguratorów.

– Wśród globalnych dostawców ciężko znaleźć takiego, który pochyli się nad problemami jednej firmy, na zamówienie umożliwi integrację z innym rozwiązaniem zabezpieczającym lub stworzy dodatkową funkcję, kluczową w danym projekcie. Indywidualne podejście, wsparcie w języku polskim oraz chęć pomocy przy rozwiązywaniu  nawet  najmniejszego problemu to cechy, które klienci i partnerzy cenią sobie najbardziej – podsumowuje Maciej Salamoński.

Dodatkowe informacje: Maciej Salamoński, Business Development Manager, Scan IT, maciej.salamonski@nacview.com, nacview.com.

Artykuł NACVIEW: dojrzały system NAC z Polski pochodzi z serwisu CRN.

NACVIEW podnosi poziom bezpieczeństwa firmowej sieci i wspomaga administratorów w codziennej pracy. Zapewniana przez to narzędzie kontrola dostępu, oparta na standardzie 802.1X, to obecnie najskuteczniejsza metoda zapobiegania nieautoryzowanemu korzystaniu z sieci. Rozwiązanie gwarantuje elastyczne tworzenie reguł polityki bezpieczeństwa odnoszących się do grup użytkowników, urządzeń, portów sieciowych oraz sprzętu poddawanego autoryzacji na zewnętrznych serwerach. Dla urządzeń, których autoryzacja nie jest możliwa w standardzie  802.1X, wykonuje się ją na podstawie adresu MAC, z wykorzystaniem szerokiej gamy narzędzi zapobiegających atakom ARP.

Sieć jak na dłoni

Rozwiązanie NACVIEW zostało zaprojektowane z myślą o środowiskach, w których korzysta się ze sprzętu sieciowego różnych producentów. Nieskomplikowany sposób integracji z innymi systemami ochronnymi, takimi jak SIEM, firewall, antywirus, UTM, MDM i monitory ruchu, gwarantuje łatwe włączenie NACVIEW w infrastrukturę każdej firmy.

Narzędzie to wyróżnia przede wszystkim graficzne i statystyczne przedstawienie topologii sieci oraz podłączonych do niej urządzeń końcowych i sieciowych. Prezentowana jest także ich ostatnia aktywność i stan pracy. Wyposażono je w zestaw elementów usprawniających działania administratorów. Wbudowany moduł IPAM rozwiązuje często spotykany problem z nieuporządkowaną adresacją sieciową, a graficzna prezentacja pomaga utrzymać jej przejrzystość i szybko dokonywać zmian. Dwie wspomagające aplikacje (NACVIEW Assistant i NACVIEW Scout) zapewniają praktycznie bezobsługowe podłączenie do sieci na każdym urządzeniu końcowym oraz monitorowanie stanu jego bezpieczeństwa.

Integratorów zainteresowanych wdrażaniem rozwiązania NACVIEW firma Scan IT zaprasza do uczestnictwa w programie partnerskim. Obowiązują w nim dwa poziomy (srebrny i złoty), a zakwalifikowanie do każdego z nich odbywa się na podstawie kompetencji sprzedażowych i technicznych partnerów. Producent zapewnia wsparcie sprzedażowe i pomoc w przeprowadzaniu testów w ramach projektów proof-of-concept.

Artykuł Pełna kontrola i widoczność sieci w systemie NACVIEW pochodzi z serwisu CRN.